Действительно ли это возможно для большинства энтузиастов взломать сети Wi-Fi?
Хотя большинству из нас, скорее всего, никогда не придется беспокоиться о том, что кто-то взломает нашу сеть Wi-Fi, насколько сложно для энтузиаста взломать сеть Wi-Fi? В сегодняшней статье SuperUser Q & A есть ответы на вопросы одного читателя о безопасности сети Wi-Fi..
Сегодняшняя сессия вопросов и ответов пришла к нам благодаря SuperUser - подразделению Stack Exchange, группе веб-сайтов вопросов и ответов, управляемой сообществом..
Фото любезно предоставлено Брайаном Клугом (Flickr).
Вопрос
Читатель SuperUser Sec хочет узнать, действительно ли большинство энтузиастов могут взломать сети Wi-Fi:
Я слышал от надежного эксперта по компьютерной безопасности, что большинство энтузиастов (даже если они не профессионалы), использующих только руководства из Интернета и специализированное программное обеспечение (например, Kali Linux с включенными в комплект инструментами), могут прорваться через систему безопасности домашнего маршрутизатора..
Люди утверждают, что это возможно, даже если у вас есть:
- Надежный сетевой пароль
- Надежный пароль роутера
- Скрытая сеть
- Фильтрация MAC
Я хочу знать, миф это или нет. Если у маршрутизатора есть надежный пароль и фильтрация MAC-адресов, как это можно обойти (я сомневаюсь, что они используют грубую силу)? Или, если это скрытая сеть, как они могут обнаружить ее, и если это возможно, что вы можете сделать, чтобы сделать вашу домашнюю сеть действительно безопасной?
Как младший студент информатики, я чувствую себя плохо, потому что иногда со мной спорят по таким предметам, и у меня нет веских аргументов или я не могу объяснить это технически.
Действительно ли это возможно, и если да, то на каких «слабых» сторонах сети Wi-Fi сосредоточится энтузиаст??
Ответ
Авторы SuperUser Дэвидго и Рейраб имеют ответ для нас. Прежде всего, Давидго:
Не оспаривая семантику, да, утверждение верно.
Существует множество стандартов шифрования Wi-Fi, включая WEP, WPA и WPA2. WEP скомпрометирован, поэтому, если вы используете его, даже с надежным паролем, он может быть тривиально нарушен. Я считаю, что WPA и WPA2 намного сложнее взломать (но у вас могут быть проблемы с безопасностью, связанные с WPS, которые обходят это). Кроме того, даже достаточно надежные пароли могут быть взломаны. Мокси Марлиспайк, известный хакер, предлагает услугу для этого примерно за 30 долларов США с использованием облачных вычислений - хотя это не гарантируется.
Надежный пароль маршрутизатора не будет препятствовать передаче данных через маршрутизатор кому-либо на стороне Wi-Fi, так что это не имеет значения.
Скрытая сеть - это миф. В то время как существуют поля, чтобы сеть не появлялась в списке сайтов, клиенты передают сигнал WIFI-маршрутизатору, поэтому его присутствие обнаруживается тривиально.
Фильтрация MAC-адресов - это шутка, поскольку многие (большинство / все?) Устройства Wi-Fi могут быть запрограммированы / перепрограммированы для клонирования существующего MAC-адреса и обхода фильтрации MAC-адресов..
Сетевая безопасность - это большая тема, и она не поддается вопросу SuperUser. Но суть в том, что безопасность строится по уровням, так что даже если некоторые из них скомпрометированы, не все. Кроме того, в любую систему можно проникнуть, если у нее достаточно времени, ресурсов и знаний; таким образом, безопасность на самом деле не столько вопрос «можно ли ее взломать», сколько «сколько времени это займет» для взлома. WPA и безопасный пароль защищают от «Joe Average».
Если вы хотите улучшить защиту вашей сети Wi-Fi, вы можете рассматривать ее только как транспортный уровень, а затем шифровать и фильтровать все, что происходит на этом уровне. Это избыточно для подавляющего большинства людей, но один из способов сделать это - настроить маршрутизатор так, чтобы он разрешал доступ только к определенному VPN-серверу под вашим контролем, и требовал, чтобы каждый клиент проходил аутентификацию через соединение Wi-Fi через VPN. Таким образом, даже если Wi-Fi скомпрометирован, существуют другие (более сложные) уровни, которые нужно победить. Подмножество этого поведения не является редкостью в больших корпоративных средах.
Более простой альтернативой более надежной защите домашней сети является отказ от Wi-Fi и использование только кабельных решений. Если у вас есть такие вещи, как сотовые телефоны или планшеты, это может быть непрактично. В этом случае вы можете снизить риски (не исключая их), уменьшив уровень сигнала вашего маршрутизатора. Вы также можете защитить свой дом так, чтобы ваша частота просачивалась меньше. Я этого не делал, но по слухам (исследованным) есть слух, что даже алюминиевая сетка (например, экран от мух) с внешней стороны вашего дома с хорошим заземлением может иметь огромное значение для количества сигнала, который будет выходить. Но, конечно, до свидания покрытие сотового телефона.
Что касается защиты, другой альтернативой может быть получение вашего маршрутизатора (если он способен сделать это, большинство не способны, но я бы предположил, что маршрутизаторы, работающие с openwrt и, возможно, tomato / dd-wrt могут) регистрировать все пакеты, проходящие через вашу сеть, и следить за этим. Даже простой мониторинг аномалий с общим количеством байтов в и из различных интерфейсов может дать вам хорошую степень защиты.
В конце дня, возможно, возникнет вопрос: «Что мне нужно сделать, чтобы случайный хакер не потратил время на проникновение в мою сеть?» Или «Какова реальная стоимость взлома моей сети?», и идти оттуда. Там нет быстрого и простого ответа.
Далее следует ответ от Рейраба:
Как уже говорили другие, сокрытие SSID тривиально сломать. Фактически, ваша сеть будет отображаться по умолчанию в списке сетей Windows 8, даже если она не передает свой SSID. Сеть все еще передает свое присутствие через фреймы маяка в любом случае; он просто не включает SSID в кадр маяка, если отмечен этот параметр. SSID тривиально получить из существующего сетевого трафика.
Фильтрация MAC также не очень полезна. Это может на короткое время замедлить сценарий деточки, который скачал взлом WEP, но это определенно не остановит никого, кто знает, что они делают, так как они могут просто подделать законный MAC-адрес.
Что касается WEP, он полностью сломан. Надежность вашего пароля здесь не имеет большого значения. Если вы используете WEP, любой может загрузить программное обеспечение, которое довольно быстро проникнет в вашу сеть, даже если у вас есть надежный пароль.
WPA значительно более безопасен, чем WEP, но все еще считается сломанным. Если ваше оборудование поддерживает WPA, но не WPA2, это лучше, чем ничего, но решительный пользователь, вероятно, сможет взломать его с помощью подходящих инструментов..
WPS (Wireless Protected Setup) - это проблема безопасности сети. Отключите его независимо от того, какую технологию шифрования сети вы используете.
WPA2, в частности версия, в которой используется AES, достаточно безопасна. Если у вас есть пароль снижения, ваш друг не сможет войти в защищенную сеть WPA2 без получения пароля. Теперь, если АНБ пытается проникнуть в вашу сеть, это другое дело. Тогда вам следует просто полностью отключить беспроводную связь. И, вероятно, ваше интернет-соединение и все ваши компьютеры тоже. Учитывая достаточное количество времени и ресурсов, WPA2 (и все остальное) можно взломать, но для этого, вероятно, потребуется гораздо больше времени и гораздо больше возможностей, чем будет у вашего среднего любителя..
Как сказал Дэвид, реальный вопрос не в том, «это можно взломать?», А в том, «сколько времени потребуется, чтобы взломать кого-то с определенным набором способностей?». Очевидно, что ответ на этот вопрос сильно различается в зависимости от того, что это за набор возможностей. Он также абсолютно прав, что безопасность должна быть сделана в слоях. Вещи, которые вас интересуют, не должны передаваться по вашей сети без предварительного шифрования. Так что, если кто-то взломает вашу беспроводную связь, он не сможет проникнуть во что-то значимое, кроме, возможно, использования вашего интернет-соединения. Любая связь, которая должна быть безопасной, должна по-прежнему использовать надежный алгоритм шифрования (например, AES), возможно, настроенный с помощью TLS или какой-либо подобной схемы PKI. Убедитесь, что ваша электронная почта и любой другой конфиденциальный веб-трафик зашифрован и что на ваших компьютерах не запущены какие-либо службы (например, общий доступ к файлам или принтерам) без надлежащей системы аутентификации..
Есть что добавить к объяснению? Отключить звук в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.